С тех пор, как в блоге технологий США The Register впервые были обнаружены уязвимости уровня чип-уровня 2 января 2018 года, вызванные Spectral Execution Spectre (китайское название «призрак»), есть CVE-2017-5753 и CVE-2017-5715 два варианта) , Meltdown (вариант CVE-2017-5754), Intel, ARM, AMD, Apple, IBM, Qualcomm, NVIDIA и другие, все признали, что их процессоры подвергаются риску подвергнуться нападению.
Несмотря на безопасность лазеек, вызванных процессором, лежащим в основе архитектуры дизайна, которая затрагивает почти всех производителей чипов, Intel, мировой лидер в индустрии чипов, стала самым заметным проигравшим ». Цена акций Intel снизилась с $ 46,85 / акция 2 января до 42,50 долл. / Акция 11 января, рыночная стоимость сократилась на 20,4 млрд. Долл. США. Также посмотрите на конкурирующую Intel AMD, цену акций компании с 2 января 10,98 долл. США / акция выросли до 11,93 долл. США 11 января / акция или почти 10%.
Intel и другие производители микросхем, Microsoft и другие производители операционной системы, Apple и другие производители терминалов реагируют на меры безопасности «лазейки» безопасности процессора, указывают на «патч». Соответствующий представитель Intel China 10 января в телефоне и электронной почте сказал Китаю (2017) Мы начали отправлять обновления прошивки OEM-партнерам в начале декабря, и мы ожидаем, что обновления, которые будут выпущены в прошлом (прошлой) неделе, будут охватывать более 90% процессоров Intel, представленных за последние пять лет, а оставшиеся Будет выпущен до конца января 2018 года (2018 год), и мы продолжим выпуск обновлений других продуктов ». Пресс-секретарь подчеркнул, что Intel не будет« чип-отзывом ».
«Уязвимые ворота» просочились досрочно
Этот раунд репутации лазеек ЦП как вычислительное оборудование «тысячелетия» в истории крупнейшего нарушения безопасности.
Что такое «ошибка тысячелетия»? Проблема с компьютером 2000. Поскольку память компьютера относительно невелика, год представлен двумя цифрами, такими как 1980 год - 80, до 1999 года, 80 лет - 99-80 = 19 лет , Но в 2000 году стало 00-80 = -80 лет. Это называется «Проблема 2000 компьютера».
«Дыра лазеек» процессора, как это происходит? Специалист по технологиям Huawei сказал репортеру «China Business», люди, которым выданы инструкции для компьютера, могут быть разделены на нормальные, могут быть выполнены, исключение не выполняется два, в соответствии с исходной структурой Конструкции, исключения, которые не выполняются, остаются в кеше без какой-либо трассировки, поэтому не имеет значения, могут ли они видеть конфиденциальную информацию о памяти, но теперь было подтверждено, что инструкции все еще хранятся в памяти Который оставил следы подсказок и может быть использован злоумышленниками, что приводит к раскрытию конфиденциальных пользователей информации.
Команда Project Zero в Google впервые заверила об обнаружении этих уязвимостей на уровне чипа, вызванных CPU Speculative Execution, и назвала их Spectre и Meltdown и протестирована, чтобы подтвердить, что эффекты Spectre включают Intel, AMD, ARM и многие другие производители, в том числе чип-продукты, Meltdown (плавкий предохранитель) - это основное влияние чипов Intel.
Эти уязвимости были впервые сообщены командой Google Project Zero в Intel, AMD и ARM в июне 2017 года. Поскольку эти риски безопасности включают в себя множество различных архитектур чипов, они уведомляются и сертифицируются командой Project Zero Позже Intel, AMD, ARM и другие производители быстро объединились и во главе с Google подписали соглашение о конфиденциальности, а в соответствии с соглашением о конфиденциальности сотрудничают, чтобы обеспечить согласованный крайний срок для раскрытия выпуска (9 января 2018 года) Прежде чем найти решение проблемы ». Ответчики Intel China рассказали корреспонденту« China Business ».
Это не только команда Google Project Zero, но еще несколько исследователей самостоятельно обнаружили эти уязвимости во второй половине 2017 года. «Эти исследователи узнали, что эти проблемы безопасности были переданы чипмейкерам командой Project Zero, и индустрия работает вместе И активизировав разработку решения, они также согласились сохранить конфиденциальность своих данных до момента времени раскрытия информации, согласованного отраслью (9 января 2018 года) », - сказал китайский чиновник из Intel China.
Однако по мере приближения времени раскрытия (9 января 2018 года) «уязвимость» безопасности ЦП была раскрыта заранее 2 января 2018 года. Затем Google опубликовала соответствующую информацию 3 января 2018 года. - Команда Project Zero сообщила Spectre для Intel, AMD, ARM 1 июня 2017 года и Meltdown для Intel 28 июля 2017 года.
Баотуанская сделка
Несмотря на то, что он похож на «Y2K», первопричиной этой «защитной системы» безопасности процессора является дизайн базовой архитектуры. Однако, когда проблема была раскрыта, фокус общественного мнения был в основном у Intel.
Инсайдеры отрасли рассказали корреспонденту «China Business», что, с одной стороны, из-за того, что Spectre и Meltdown связаны с двумя лазейками в Intel, с другой стороны, поскольку Intel является «боссом» в мире чип-индустрии, Пострадавшие группы пользователей, несомненно, являются самыми большими.
Intel придерживалась уязвимостей безопасности ЦП, определенных СМИ как «чип-шлюзы» в области безопасности Intel ». Корреспондент China Business Journal сказал 3 января 2018 года« Ответ Intel на результаты исследований безопасности », , Эти уязвимости безопасности не уникальны для продуктов Intel ». 4 января Intel выпустила обновление, в котором говорится, что Intel выпустила обновления для большинства процессорных продуктов, представленных за последние пять лет. К следующим выходным (14 января День). Intel анонсирует обновления, которые будут охватывать более 90% процессоров, представленных за последние пять лет.
Согласно опубликованному в США докладу Oregon News, глава корпорации Ke Keqi 8 января также направил меморандуму сотрудникам, в котором говорится, что компания создаст новый отдел обеспечения безопасности и безопасности Intel для повышения безопасности. В своей вступительной речи на выставке CES 2018 9 января Оддки вновь подчеркнул, что «на этой неделе реабилитация будет покрывать 90% последних 5 лет, а остальные 10% будут отремонтированы к концу января».
После того, как Intel, AMD, ARM, Qualcomm, NVIDIA, Apple, IBM и другие производители также признали, что «лазейки» влияют на собственные продукты и говорят, что их можно решить с помощью обновления системного исправления.
Например, ARM заявила в публичном заявлении, что «у многих семейств процессоров семейства Cortex существуют уязвимости, официальное заявление AMD признало, что некоторые из процессоров имеют уязвимости в системе безопасности, - заявила IBM, - потенциальная атака потенциальных потенциальных потенциальных пользователей на все микропроцессоры потенциально может повлиять, включая IBM PowerCom », - сказал Qualcomm, - за недавнее выявление лазеек безопасности на чип-уровне в продукте, компания разрабатывает обновления», NVIDIA заявила, что часть чипа Spectre может вызвать утечку памяти. Вышеупомянутые компании допущены к ' В то же время они также заявили, что они или разрабатывают патчи безопасности для повышения уровня безопасности затронутых чипов.
Например, Apple признала на официальном сайте, что «все компьютеры Mac и устройства iOS затронуты, но в то же время официальный веб-сайт Apple признал, что« все устройства Mac OS и iOS затронуты Apple также заявила, что «будет обновлять Safari для предотвращения атак, а также для дальнейшего изучения этих двух уязвимостей, будет выпущена в iOS, macOS и tvOS обновлениях новых решения ».
Текущее действие класса
В то время как производители микросхем, производители операционной системы и производители конечных продуктов пытаются решить этот кризис безопасности «нарушения» в «исправленном» режиме, потребители не удовлетворены ответом отрасли.
Согласно Engadget, новостному сайту в области технологий США, Intel потерпела три судебных процесса в Соединенных Штатах, и все это действия класса из-за утечек безопасности ЦП ». Engadget полагает, что это означает, что больше потребителей, которые пострадали, могут присоединиться к рядам истцов Претензии. В настоящее время не существует никаких судебных исков против других производителей, таких как AMD.
Проще говоря, есть две основные причины, по которым потребители подают в суд на Intel. Одним из них является раскрытие рисков безопасности по истечении шести месяцев. Во-вторых, исправление влияет на производительность своих компьютеров.
Для расширения раскрытия этой проблемы официальный представитель Intel China заявил, что для того, чтобы активно бороться за время, узнав о существовании лазеек до настоящего времени 6 месяцев, Intel работает с другими поставщиками, чтобы ускорить поиск решений этой проблемы, «большой Альянс технологических компаний работает вместе над изучением и подготовкой решения ».
Иностранные СМИ заявили разработчику, что исправление ядра процессора повлияет на все операционные системы, и большинство программных приложений будут испытывать «однострочный слайд» (то есть менее 10%) для проблем с производительностью программного обеспечения. , Типичное снижение производительности на 5%, в то время как сетевые возможности, наихудшее снижение производительности на 30%, то есть «патч» для решения лазеек безопасности, приведет к снижению производительности вычислительных устройств на 5% 30%.
Однако Intel настаивала на том, что «Meltdown и Spectre две уязвимости процессора не окажут существенного влияния на производительность компьютера», тест SYSmark компании показал, что после того, как производительность «патча» снизилась примерно на 2% ~ 14 % '.
Фактически, репортер «China Business» отметил, что Intel и AMD и другие производители произошли в прошлых событиях CPU Bug, таких как ошибка Pentium FDIV, обнаруженная в 1994 году, ошибка Pentium FOOF, обнаруженная в 1997 году, Intel обнаружила в 2008 году Intel ME, AMD Phenom TLB Bug, Ryzen Segfault Bug и т. Д. Среди них ошибка Intel Pentium FDIV - это изъяна и недостаток, и Intel изначально не оценила ее и только решила частично доказать ее Затронутые пользователи, чтобы заменить процессор, а затем вынуждены общественным мнением и рыночным давлением, Intel напомнила обо всех затронутых процессорах, когда потеряла до 475 миллионов долларов США. Может быть обнаружено после многих событий CPU Bug, Intel и AMD через «патч» «Способ решения проблемы.
В ответ на дверь «лазейки» безопасности Intel не будет вспоминать свой собственный чип. Представитель Intel по вопросам производства в Китае цитировал Ко еще странное общественное мнение, Meltdown и Spectre, чем Pentium FDIV в 1994 году, которое легко решить, и Intel начала обращаться к Эти уязвимости не позволяют Intel вспомнить чип-продукты, на которые влияют уязвимости Meltdown и Spectre ».